关于 macOS High Sierra 10.13.5、安全性更新 2018-003 Sierra 和安全性更新 2018-003 El Capitan 的安全性内容

这篇文稿介绍了 macOS High Sierra 10.13.5、安全性更新 2018-003 Sierra 和安全性更新 2018-003 El Capitan 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

macOS High Sierra 10.13.5、安全性更新 2018-003 Sierra、安全性更新 2018-003 El Capitan

发布于 2018 年 6 月 1 日

访问权限框架

适用于:macOS High Sierra 10.13.4

影响:恶意应用程序或许能够以系统权限执行任意代码

描述:访问权限框架存在信息泄露问题。已通过改进内存管理解决这个问题。

CVE-2018-4196: Alex Plaskett, Georgi Geshev and Fabian Beterke of MWR Labs working with Trend Micro’s Zero Day Initiative, and WanderingGlitch of Trend Micro Zero Day Initiative

条目更新于 2018 年 7 月 19 日

AMD

适用于:macOS High Sierra 10.13.4

影响:本地用户或许能够读取内核内存

描述:存在导致内核内存泄露的越界读取问题。已通过改进输入验证解决这个问题。

CVE-2018-4253: shrek_wzw of Qihoo 360 Nirvan Team

AMD

适用于:macOS High Sierra 10.13.4

影响:本地用户或许能够读取内核内存

描述:已通过改进输入验证解决越界读取问题。

CVE-2018-4256: shrek_wzw of Qihoo 360 Nirvan Team

条目添加于 2018 年 7 月 19 日

AMD

适用于:macOS High Sierra 10.13.4

影响:本地用户或许能够读取内核内存

描述:已通过改进输入验证解决越界读取问题。

CVE-2018-4255: shrek_wzw of Qihoo 360 Nirvan Team

条目添加于 2018 年 10 月 18 日,更新于 2018 年 12 月 14 日

AMD

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:内核中存在输入验证问题。已通过改进输入验证解决这个问题。

CVE-2018-4254: an anonymous researcher

条目添加于 2018 年 10 月 18 日

AMD

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:内核中存在输入验证问题。已通过改进输入验证解决这个问题。

CVE-2018-4254: shrek_wzw of Qihoo 360 Nirvan Team

条目添加于 2018 年 10 月 24 日

AppleGraphicsControl

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进边界检查解决缓冲区溢出问题。

CVE-2018-4258: shrek_wzw of Qihoo 360 Nirvan Team

条目添加于 2018 年 10 月 18 日

AppleGraphicsPowerManagement

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进大小验证解决缓冲区溢出问题。

CVE-2018-4257: shrek_wzw of Qihoo 360 Nirvan Team

条目添加于 2018 年 10 月 18 日

apache_mod_php

适用于:macOS High Sierra 10.13.4

影响:这一更新解决了 php 中的问题

描述:已通过更新到 php 版本 7.1.16 解决这个问题。

CVE-2018-7584: Wei Lei and Liu Yang of Nanyang Technological University

ATS

适用于:macOS High Sierra 10.13.4

影响:恶意应用程序或许能够提升权限

描述:已通过改进内存处理解决类型混淆问题。

CVE-2018-4219: Mohamed Ghannam (@_simo36)

蓝牙

适用于:MacBook Pro(视网膜显示屏,15 英寸,2015 年中)、MacBook Pro(视网膜显示屏,15 英寸,2015 年)、MacBook Pro(视网膜显示屏,13 英寸,2015 年初)、MacBook Pro(15 英寸,2017 年)、MacBook Pro(15 英寸,2016 年)、MacBook Pro(13 英寸,2016 年末,两个雷雳 3 端口)、MacBook Pro(13 英寸,2016 年末,四个雷雳 3 端口)、MacBook Pro(13 英寸,2017 年,四个雷雳 3 端口)、MacBook(视网膜显示屏,12 英寸,2016 年初)、MacBook(视网膜显示屏,12 英寸,2015 年初)、MacBook(视网膜显示屏,12 英寸,2017 年)、iMac Pro、iMac(视网膜 5K 显示屏,27 英寸,2015 年末)、iMac(视网膜 5K 显示屏,27 英寸,2017 年)、iMac(视网膜 4K 显示屏,21.5 英寸,2015 年末)、iMac(视网膜 4K 显示屏,21.5 英寸,2017 年)、iMac(21.5 英寸,2015 年末)和 iMac(21.5 英寸,2017 年)

影响:拥有特权网络地位的攻击者或许能够拦截蓝牙流量

描述:蓝牙存在输入验证问题。已通过改进输入验证解决这个问题。

CVE-2018-5383: Lior Neumann and Eli Biham

条目添加于 2018 年 7 月 23 日

蓝牙

适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6

影响:恶意应用程序或许能够确定内核内存布局.

描述:设备属性存在信息泄露问题。已通过改进对象管理解决这个问题。

CVE-2018-4171: shrek_wzw of Qihoo 360 Nirvan Team

CoreGraphics

适用于:macOS High Sierra 10.13.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进输入验证解决越界读取问题。

CVE-2018-4194: Jihui Lu of Tencent KeenLab, Yu Zhou of Ant-financial Light-Year Security Lab

条目添加于 2018 年 6 月 21 日

CUPS

适用于:macOS High Sierra 10.13.4

影响:本地进程可能在未经过授权检查的情况下修改其他进程

描述:CUPS 存在问题。已通过改进访问限制解决这个问题。

CVE-2018-4180: Dan Bastone of Gotham Digital Science

条目添加于 2018 年 7 月 11 日

CUPS

适用于:macOS High Sierra 10.13.4

影响:本地用户或许能以 root 用户身份读取任意文件

描述:CUPS 存在问题。已通过改进访问限制解决这个问题。

CVE-2018-4181: Eric Rafaloff and John Dunlap of Gotham Digital Science

条目添加于 2018 年 7 月 11 日

CUPS

适用于:macOS High Sierra 10.13.4

影响:沙盒化进程或许能够绕过沙盒限制

描述:已通过在 CUPS 上增加沙盒限制解决访问问题。

CVE-2018-4182: Dan Bastone of Gotham Digital Science

条目添加于 2018 年 7 月 11 日

CUPS

适用于:macOS High Sierra 10.13.4

影响:沙盒化进程或许能够绕过沙盒限制

描述:已通过增加沙盒限制解决访问问题。

CVE-2018-4183: Dan Bastone and Eric Rafaloff of Gotham Digital Science

条目添加于 2018 年 7 月 11 日

EFI

适用于:macOS High Sierra 10.13.4

影响:拥有设备实际访问权限的攻击者或许能够提升权限

描述:已通过改进逻辑解决验证问题。

CVE-2018-4478: an anonymous researcher, an anonymous researcher, Ben Erickson of Trusted Computer Consulting, LLC

条目添加于 2019 年 2 月 15 日

固件

适用于:macOS High Sierra 10.13.4

影响:拥有 root 权限的恶意应用程序或许能够修改 EFI 闪存区域

描述:已通过更新配置解决设备配置问题。

CVE-2018-4251: Maxim Goryachy and Mark Ermolov

FontParser

适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13.4

影响:处理恶意制作的字体文件可能会导致任意代码执行

描述:已通过改进验证解决内存损坏问题。

CVE-2018-4211: Proteas of Qihoo 360 Nirvan Team

Grand Central Dispatch

适用于:macOS High Sierra 10.13.4

影响:沙盒化进程或许能够绕过沙盒限制

描述:解析权限 plist 时存在问题。已通过改进输入验证解决这个问题。

CVE-2018-4229: Jakob Rieck (@0xdead10cc) of the Security in Distributed Systems Group, University of Hamburg

图形卡驱动程序

适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13.4

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2018-4159: Axis and pjf of IceSword Lab of Qihoo 360

虚拟机管理程序

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进锁定解决内存损坏漏洞问题。

CVE-2018-4242: Zhuo Liang of Qihoo 360 Nirvan Team

条目添加于 2018 年 10 月 30 日

iBooks

适用于:macOS High Sierra 10.13.4

影响:拥有特权网络地位的攻击者或许能够伪造 iBooks 中的密码提示

描述:已通过改进输入验证解决输入验证问题。

CVE-2018-4202: Jerry Decime

身份服务

适用于:macOS High Sierra 10.13.4

影响:恶意应用程序或许能够访问本地用户的 Apple ID

描述:已通过改进索引解决处理 Open Directory 记录时的隐私问题。

CVE-2018-4217: Jacob Greenfield of Commonwealth School

条目添加于 2018 年 12 月 10 日

Intel 图形卡驱动程序

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2018-4141: an anonymous researcher, Zhao Qixun (@S0rryMybad) of Qihoo 360 Vulcan Team

IOFireWireAVC

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进锁定解决竞态条件问题。

CVE-2018-4228: Benjamin Gnahm (@mitp0sh) of Mentor Graphics

IOGraphics

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2018-4236: Zhao Qixun(@S0rryMybad) of Qihoo 360 Vulcan Team

IOHIDFamily

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2018-4234: Proteas of Qihoo 360 Nirvan Team

内核

适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2018-4249: Kevin Backhouse of Semmle Ltd.

条目更新于 2018 年 12 月 18 日

内核

适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6

影响:恶意应用程序或许能够以内核权限执行任意代码

描述:某些情况下,部分操作系统在完成某些指令之后可能无法正常或正确地处理 Intel 架构调试异常。这个问题似乎源于指令的某个没有记录在案的负效应。攻击者可能会利用这一异常处理来获取 Ring 0 的访问权,并访问敏感内存或控制操作系统进程。

CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) of Everdox Tech LLC

内核

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进边界检查解决缓冲区溢出问题。

CVE-2018-4241: Ian Beer of Google Project Zero

CVE-2018-4243: Ian Beer of Google Project Zero

libxpc

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够获取提升的权限

描述:已通过改进验证解决逻辑问题。

CVE-2018-4237: Samuel Groß (@5aelo) working with Trend Micro’s Zero Day Initiative

libxpc

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2018-4404: Samuel Groß (@5aelo) working with Trend Micro’s Zero Day Initiative

条目添加于 2018 年 10 月 30 日

邮件

适用于:macOS High Sierra 10.13.4

影响:攻击者或许能够泄露 S/MIME 加密电子邮件的内容

描述:处理加密邮件时存在问题。已通过改进“邮件”中的 MIME 隔离解决这个问题。

CVE-2018-4227: Damian Poddebniak of Münster University of Applied Sciences, Christian Dresen of Münster University of Applied Sciences, Jens Müller of Ruhr University Bochum, Fabian Ising of Münster University of Applied Sciences, Sebastian Schinzel of Münster University of Applied Sciences, Simon Friedberger of KU Leuven, Juraj Somorovsky of Ruhr University Bochum, Jörg Schwenk of Ruhr University Bochum

信息

适用于:macOS High Sierra 10.13.4

影响:本地用户或许能够实施伪装攻击

描述:已通过改进输入验证解决注入问题。

CVE-2018-4235: Anurodh Pokharel of Salesforce.com

信息

适用于:macOS High Sierra 10.13.4

影响:处理恶意制作的信息可能会导致服务遭拒

描述:已通过改进信息验证解决这个问题。

CVE-2018-4240: Sriram (@Sri_Hxor) of PrimeFort Pvt. Ltd

NVIDIA 图形卡驱动程序

适用于:macOS High Sierra 10.13.4

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进锁定解决竞态条件问题。

CVE-2018-4230: Ian Beer of Google Project Zero

安全性

适用于:macOS High Sierra 10.13.4

影响:恶意网站可能会使用客户端证书跟踪用户

描述:处理 S-MIME 证书时存在问题。已通过改进 S-MIME 证书验证解决这个问题。

CVE-2018-4221: Damian Poddebniak of Münster University of Applied Sciences, Christian Dresen of Münster University of Applied Sciences, Jens Müller of Ruhr University Bochum, Fabian Ising of Münster University of Applied Sciences, Sebastian Schinzel of Münster University of Applied Sciences, Simon Friedberger of KU Leuven, Juraj Somorovsky of Ruhr University Bochum, Jörg Schwenk of Ruhr University Bochum

安全性

适用于:macOS High Sierra 10.13.4

影响:本地用户或许能够读取永久性帐户识别码

描述:已通过改进状态管理解决授权问题。

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

安全性

适用于:macOS High Sierra 10.13.4

影响:本地用户或许能够读取永久性设备识别码

描述:已通过改进状态管理解决授权问题。

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

安全性

适用于:macOS High Sierra 10.13.4

影响:本地用户或许能够修改钥匙串的状态

描述:已通过改进状态管理解决授权问题。

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

安全性

适用于:macOS High Sierra 10.13.4

影响:本地用户可能会看到敏感用户信息

描述:已通过改进状态管理解决授权问题。

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

语音

适用于:macOS High Sierra 10.13.4

影响:沙盒化进程或许能够绕过沙盒限制

描述:处理麦克风访问时存在沙盒问题。已通过改进麦克风访问处理解决这个问题。

CVE-2018-4184: Jakob Rieck (@0xdead10cc) of the Security in Distributed Systems Group, University of Hamburg

UIKit

适用于:macOS High Sierra 10.13.4

影响:处理恶意制作的文本文件可能会导致服务遭拒

描述:处理文本时存在验证问题。已通过改进文本验证解决这个问题。

CVE-2018-4198: Hunter Byrnes

Windows Server

适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13.4

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2018-4193: Markus Gaasedelen, Amy Burnett, and Patrick Biernat of Ret2 Systems, Inc working with Trend Micro’s Zero Day Initiative, Richard Zhu (fluorescence) working with Trend Micro’s Zero Day Initiative

这个条目更新于 2019 年 10 月 8 日

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: